Чем оценка рисков отличается от аудита ИБ?

Аудит проверяет соответствие применимым требованиям или лучшим практикам. Оценка рисков отвечает на более широкий вопрос: какие угрозы наиболее опасны именно для вашего бизнеса и каков будет ущерб от их реализации. Это управленческий инструмент, а не технический чеклист.

Какие методологии оценки рисков вы используете?

Работа строится на признанных международных фреймворках: ISO/IEC 27005, NIST SP 800-30, Open FAIR™, Mitre ATT&CK и других. В зависимости от задач применяется качественный, количественный или полуколичественный подход к расчёту рисков.

Как вы учитываете специфику нашей отрасли?

Отраслевой контекст — один из ключевых элементов методологии. На этапе интервью детально изучаются бизнес-процессы, стратегия и специфика компании, а при оценке агентов угроз и сценариев рисков используется российская и мировая статистика инцидентов в вашей отрасли.

Как долго длится оценка и что от нас потребуется?

Полный цикл занимает около 2–3 месяцев. Потребуется участие ключевых работников в интервью — представителей бизнеса, ИТ и ИБ, — а также предоставление документации.

Оценка рисков — это только для крупного бизнеса?

Оценка рисков актуальна для любого бизнеса, у которого есть данные, клиенты и процессы, которые нельзя потерять. Для небольших компаний она особенно важна: ресурсов меньше, а цена неправильного приоритета выше. Глубина и объём работ адаптируются под реальный масштаб и бюджет.

Какой результат мы получим на выходе?

Реестр рисков с количественной или качественной оценкой каждого, план обработки рисков с приоритизированными мероприятиями, дорожная карта развития ИБ на 2–3 года. Опционально — расчёт ROI от внедрения защитных мер для обоснования бюджета перед руководством.

Оценка рисков безопасности
ИИ-систем

Системный подход к безопасности ИИ на основе архитектуры и окружения ИИ-систем, а не просто с перечислением формальных требований.

Получить консультацию Заказать оценку

портфель из 320 проектов в информационной безопасности

Более 320 проектов
реализовано

Более 250 инженеров
в команде

15 лет на рынке информационной безопасности

Более 15 лет
на рынке ИБ

Что такое оценка рисков ИИ?

Активное внедрение ИИ в Компаниях сопровождается не только повышением эффективности бизнес-процессов, но и появлением новых классов рисков, которые сложно контролировать в рамках традиционных подходов ИБ. Уязвимости LLM-моделей, атаки на данные и злоупотребление ИИ-функциональностью могут приводить к инцидентам с серьёзными финансовыми и репутационными последствиями для Компании.

Оценка рисков для ИИ – это процесс идентификации, анализа и приоритизации рисков, которые могут возникнуть при разработке, внедрении и эксплуатации систем с технологиями искусственного интеллекта. Она позволяет своевременно выявлять актуальные угрозы и принимать меры по их устранению.

Зачем нужна оценка рисков безопасности
для ИИ-систем?

88%

компаний используют ИИ как минимум в одной функции бизнеса

68%

сотрудников использует ИИ без согласования с ИТ/ИБ отделом (теневой ИИ)

78%

компаний, использующих LLM, столкнулись инцидентами, связанными с ИИ

Отсутствие инцидентов с ИИ не означает их безопасность

45%

специалистов считают, что их организации не готовы к ИИ-угрозам

x5

увеличение количества промпт атак на ИИ-системы за год

60%

компаний уже внедряют комплексные меры по защите своих ИИ-систем

*по состоянию на 2025 г.

Критические ИИ-угрозы

Промпт-инъекции и взлом RAG

Внедрение скрытых инструкций в запросы, документы, веб-страницы и другие источники данных, чтобы заставить модель обходить ограничения, раскрывать информацию или выполнять нежелательные действия

Компрометация ИИ-агентов

Получение контроля над действиями ИИ-агента через его инструменты, API, MCP или внешние интеграции. Приводит к утечке данных и несанкционированным операциям от имени пользователя

Атаки на цепочку поставок ИИ

Компрометация внешних компонентов ИИ: моделей, библиотек, датасетов, API, плагинов или инфраструктурных сервисов с целью внедрения вредоносного кода, бэкдоров или уязвимых зависимостей

Отравление обучающих данных

Внедрение вредоносных или специально размеченных данных в датасеты для обучения и дообучения с целью изменения поведения модели или встраивания скрытых триггеров

Кому нужна оценка рисков безопасности ИИ-систем?

Оценка рисков ИИ актуальна для Компаний, которые:

Разрабатывают собственные ИИ-решения, используют внешние ИИ-сервисы (Chat GPT, DeepSeek, Claude)
представляют ИИ-решения в составе сервиса, внедряют ИИ в бизнес-процессы Заказчиков
Обрабатывают конфиденциальную информацию и персональные данные в ИИ-системах
работают в отраслях с высокими требованиями к надежности (финтех, ритейл, государственный сектор)
стремятся исключить риски использования ИИ в качестве вектора атаки
готовятся к сертификации на соответствие международному стандарту ISO/IEC 42001:2023

Результат

Осознанное управление рисками искусственного интеллекта

Бизнес и ИБ в одном контуре

Поможем Бизнесу и ИБ говорить на одном языке и внедрять меры защиты, которые не тормозят развитие ИИ-инициатив
Снижение реальных рисков

Превратим разрозненные меры защиты в системный подход, который помогает устранять реальные угрозы для ИИ, а не просто закрывать формальные требования
Оптимизация затрат

Поможем инвестировать в действительно эффективные меры защиты систем ИИ, исключив расходы на избыточные решения
Методология работы

Научим не просто считать риски, а выстроим процесс, который позволит Компании управлять ими самостоятельно
Безопасное масштабирование ИИ

Создадим основу, при которой Компания сможет быстро внедрять новые ИИ-решения без пропорционального роста рисков.
Доверие клиентов и партнеров

Поможем продемонстрировать клиентам, партнерам и регулирующим органам зрелый подход к управлению ИИ и его безопасностью.

Результат

Осознанное управление рисками искусственного интеллекта

Оценка зрелости

Проведем обследование в соответствии с общепризнанными международными практиками

Результат:

Протоколы интервью

Отчет по результатам обследования, включая мероприятия для повышения уровня ИБ Компании

Диаграмма зрелости процессов

Подробнее

Оценка рисков ИБ

Проведем количественную оценку рисков ИБ с учетом бизнес-контекста

Результат:

Реестр рисков ИБ

План обработки рисков ИБ

Инструмент в формате .xlsm для расчета уровня риска

Подробнее

Проектирование целевого состояния

Построим дорожную карту развития, включающую портфель проектов на 2- 3 года с оценкой сроков и трудозатрат

Результат:

Дорожная карта развития ИБ с приоритизированными мероприятиями

Проект целевого состояния функции КБ

Краткая презентация для руководства

Подробнее

Наш арсенал в битве с рисками

Эффективное управление рисками кибербезопасности — это не один инструмент, а целая система взаимосвязанных элементов. Мы подходим к задаче комплексно, объединяя методологическую экспертизу и практический опыт.

Ключевые фреймворки
- ISO/IEC 27005
- ISO 31000
- Open FAIR™ Risk Analysis
- NIST SP 800-30
- Mitre ATT&CK
Подходы к идентификации рисков
- Top-down (от недопустимых для бизнеса событий)
- Bottom-up (от несоответствий на операционном уровне)
Подходы к расчету рисков
- Качественный (Высокий, Средний, Низкий)
- Количественный (100 р., 1000 р., 10 000 р.)
- Полуколичественный (качественные значения выражаются в количественных показателях)
Методики расчета рисков
- Экспертно
- На основе статистики
- На основе математического распределения
- На основе декомпозиции на факторы

Этапы проекта

Подробный перечень шагов по реализации аудита

Этап 1. Оценка зрелости

Оценка зрелости

Анализ контрольной среды проводится в соответствии с международными стандартами по ИБ. Итогом является оценка уровня зрелости ИБ в Компаниии.

Читать далее

Диаграмма оценки зрелости КБ: пример

Этап 2. Оценка рисков ИБ

ШАГ 1

Устанавливаем контекст области оценки

Прежде чем искать риски, необходимо очертить границы: что именно оцениваем, в каком бизнес-контексте, какие цели и ограничения учитываем.

Читать далее

ШАГ 2

Идентифицируем активы

Определяем, что именно нуждается в защите: информационные системы, данные, процессы, инфраструктура.

Читать далее

ШАГ 3

Идентифицируем агентов угроз ИБ

Выявляем, кто или что может причинить вред: внешние злоумышленники, инсайдеры, технические сбои, человеческий фактор.

Читать далее

Реестр агентов угроз (нарушителей): пример

ШАГ 4

Идентифицируем сценарии рисков ИБ

На основе всех собранных данных формируются наиболее критичные и релевантные сценарии реализации рисков ИБ.

Читать далее

ШАГ 5

Оцениваем риски ИБ

Реестр рисков: пример

Каждый сценарий получает количественную или качественную оценку: вероятность реализации и масштаб потенциального ущерба.

Читать далее

Величина воздействия рассчитывается через бизнес-метрики, напрямую связанные со сценарием: количество затронутых клиентов и сделок, средняя прибыль, затраты на расследование инцидента, маркетинговые издержки на восстановление клиентской базы и иные релевантные показатели. Такой подход позволяет выразить последствия реализации риска в конкретных финансовых и репутационных терминах, понятных бизнесу, и обеспечить объективную приоритизацию рисков для последующей работы с ними.

Итоговая оценка каждого риска складывается из двух составляющих. Вероятность реализации определяется через вероятность события угрозы (как часто агент вступает в контакт с активом и насколько он склонен к действию) и уязвимость актива (насколько сила контролей способна противостоять потенциалу агента).

ШАГ 6

Обрабатываем риски ИБ и считаем RoSI

RoSI (return on security investment) – показатель возврата инвестиций в безопасность, который характеризует экономическую эффективность систем защиты информации.

Определяем стоимость реализации каждого из мероприятий и рассчитываем RoSI для обоснования бюджета перед руководством по формуле:

Для удобства мониторинга рисков мы предоставляем инструмент в формате .xlsm:

Инструмент для оценки рисков ИБ

Количество рисков и угроз информационной безопасности

Общий уровень рисков информационной безопасности

Количественные показатели способов обработки рисков иб

Получить консультацию Получить коммерческое предложение

Этап 3. Проектирование целевого состояния

Определение целевого уровня зрелости ИБ

Профилирование компании с учетом ее контекста и особенностей реализации бизнес-процессов на основании следующих критериев: обработка чувствительной информации, масштаб инфраструктуры, распределенность филиальной сети, маркетинговая связь с головным предприятием. Целевой уровень зрелости определяется на основании контекста компании, особенностей ИТ-ландшафта с привязкой к трендовым рискам ИБ.

Результаты работ:

Целевой уровень зрелости, подкрепленный приоритетами из дорожной карты развития. Это позволит понять, каким должен быть результат развития ИБ через 2 – 3 года и оценить разрыв между текущим и желаемым состоянием.

Получить консультацию Получить коммерческое предложение

Каждое мероприятие по обработке рисков оценивается по четырём критериям приоритизации. Это позволяет в первую очередь реализовывать те меры, которые дают максимальный защитный эффект при разумных затратах.

Формирование и визуализация дорожной карты развития КБ на горизонт 2-3 года

По результатам формирования плана обработки рисков формируется дорожная карта реализации проектов ИБ в виде диаграммы Ганта

Дорожная карта реализации проектов по развитию ИБ: пример

Определение целевого состояния кибербезопасности

Процессная модель

Разработка целевой структуры процессов, документации и ключевых артефактов по ИБ с учетом контекста бизнеса компании и дорожной карты развития ИБ.

Результаты работ:
Состав и структура документации по ИБ, сформированные с учетом реальных условий работы компании. Это позволит понять, какие документы нужны, в каком порядке их разрабатывать и как они соотносятся между собой, не тратя ресурсы на избыточные артефакты.

Проект целевого состояния. Состав и структура документации по ИБ, сформированные с учетом реальных условий работы компании

Кадровый дизайн

Формируем организационную структуру и ресурсный план кибербезопасности с учетом планов по развитию, закрепленных в дорожной карте.

Результаты работ:
Кадровая модель, определяющая минимальное количество работников функции ИБ на основании расчета эквивалента полной занятости (FTE). Это позволит избежать как дефицита ресурсов при реализации дорожной карты, так и избыточных затрат на персонал.

Пример ключевых критериев, влияющих на численность функции ИБ и уровень компетенций персонала

Пример распределения ресурсов ИБ с учетом эквивалента полной занятости FTE

Узнать подробнее про кадровый дизайн

Ландшафт средств защиты информации (СЗИ)

Определение целевого состава СЗИ в разрезе каждого процесса ИБ с учетом мероприятий, определенных в дорожной карте развития ИБ.

Результаты работ:
Состав технических средств защиты, который учитывает текущий ИТ-ландшафт, приоритеты дорожной карты и применимые трендовые риски ИБ. Ландшафт СЗИ помогает компании планировать закупки: понимать какой инструмент влияет на снижение трендовых рисков ИБ и не тратить ресурсы, не соответствующие зрелости процессов.

Узнать подробнее про СЗИ

Бесплатная консультация

У Вас остались вопросы?

Оставьте заявку и мы свяжемся с вами в ближайшее время.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности. Не является публичной офертой.

Почему нам можно доверять

Команда

Образование
МГТУ им. Н.Э. Баумана

Компетенции

Построение систем менеджмента ИБ
Проведение оценки рисков ИБ
Разработка документации по ИБ
Проведение аудитов по ИБ
Проведение оценки зрелости процессов ИБ
Разработка контента для обучающих курсов по ИБ

Курсы и сертификаты

Certified Information Systems Auditor (CISA)
Certified in Risk and Information Systems Control (CRISC)
ISO/IEC 27001 Lead Auditor

Релевантный опыт реализации

Внедрение и сопровождение систем менеджмента ИБ, разработка документации по ИБ, проведение аудитов по ИБ;
Выстраивание процесса управления рисками и проведение оценки рисков ИБ в организациях из различных отраслей – финансовый сектор, ритейл, операторы связи;
Проведение оценки зрелости процессов ИБ для организаций финансового сектора;
Разработка контента для профильноориентированных курсов повышения осведомленности работников в области ИБ для промышленной организации.

Елизавета Маркова
Опыт в сфере ИБ
Специалист по ИБ – 6 лет
Ведущий консультант – 3 года

Заказать консультацию

Образование
ФГБОУ ВПО «Рязанский государственный радиотехнический университет»

Компетенции

Построение систем менеджмента ИБ
Построение систем управления рисками ИБ, оценка рисков ИБ
Аудит и формализация процессов ИБ
Разработка корпоративных стандартов по ИБ для группы компаний
Построение систем менеджмента непрерывности бизнеса

Курсы и сертификаты

ISO/IEC 27001 LeadImplementer
ISO/IEC 27001 LeadAuditor

Релевантный опыт реализации

Внедрение систем менеджмента ИБ более чем в 20 компаниях различных отраслей – ядерная энергетика, государственный сектор, авиаотрасль, облачные провайдеры, разработчики ПО.
Выстраивание систем управления рисками ИБ, оценка рисков ИБ – операторы связи, ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
Аудит и формализация процессов ИБ более чем в 30 компаниях различных отраслей - ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
Проведение BIA, разработка планов непрерывности деятельности для компаний из различных отраслей – ретейл, автомобилестроение, аутсорсинговые компании.
Методологическое сопровождение внедрения GRC-систем.

Алексей Чуриков
Опыт в сфере ИБ
Инженер внедрения - 4 года
Ведущий консультант / Архитектор – 8 лет

Заказать консультацию

Образование
ФГБОУ ВО «МГТУ им. Г. И. Носова»

Компетенции

Оценка рисков ИБ
Оценка зрелости ИБ
Формализация процессов ИТ\ИБ

Релевантный опыт реализации

Участие в организации и проведении встреч в рамках аудита ИБ заказчика.
Проведение качественной и количественной оценки рисков ИБ.
Разработка практических рекомендаций по внедрению технических контролей и организационных мер.
Проведение сравнительного анализа текущих процессов ИБ заказчика с лучшими отраслевыми практиками и требованиями стандартов. Подготовка стратегических рекомендаций по повышению уровня зрелости ИБ.
Разработка внутренних организационно-распорядительных документов в области обеспечения ИБ.